Nemesis病毒
威胁评分卡
EnigmaSoft 威胁记分卡
EnigmaSoft 威胁记分卡是针对不同恶意软件威胁的评估报告,由我们的研究团队收集和分析。 EnigmaSoft 威胁记分卡使用多个指标对威胁进行评估和排名,包括现实世界和潜在风险因素、趋势、频率、普遍性和持续性。 EnigmaSoft 威胁记分卡会根据我们的研究数据和指标定期更新,对广泛的计算机用户有用,从寻求解决方案以从系统中删除恶意软件的最终用户到分析威胁的安全专家。
EnigmaSoft 威胁记分卡显示各种有用的信息,包括:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
严重性级别:根据我们的风险建模过程和研究,确定的对象的严重性级别,以数字形式表示,如我们的威胁评估标准中所述。
受感染计算机: SpyHunter 报告的在受感染计算机上检测到的特定威胁的确认和疑似案例数量。
另请参阅威胁评估标准。
| 威胁级别: | 80 % (高的) |
| 受感染的计算机: | 12 |
| 初见: | January 10, 2017 |
| 最后一次露面: | November 6, 2025 |
| 受影响的操作系统: | Windows |
Nemesis勒索软件是一种加密勒索软件木马,它使用一种强大的加密方法来阻止计算机用户访问其文件。 Nemesis勒索软件只是使用@ india.com域中电子邮件地址的无数勒索软件木马之一。与其他勒索软件木马一样,Nemesis勒索软件旨在加密受害者的文件,然后要求支付赎金,以换取恢复受影响文件所必需的解密密钥。去年发布了Nemesis Ransomware的无数变体。
目录
Nemesis勒索软件是文件的Nemesis
像Nemesis Ransomware这样的威胁如此成功地进行攻击的原因之一,是结合使用AES和RSA加密来使受害者的文件完全不可访问。即使从受感染的计算机中删除了Nemesis Ransomware,也会造成损坏,并且受害者的文件将保持加密状态。受Nemesis Ransomware影响的文件可以轻松识别,因为Nemesis Ransomware会将扩展名'.v8dp'添加到文件名的末尾。 Nemesis Ransomware攻击的受害者被要求支付10比特币的极高赎金,按当前汇率计超过10,000美元! PC安全分析师强烈建议计算机用户避免支付此金额。幸运的是,采取适当的措施来防止这些类型的攻击非常容易,并且它几乎是免费的,并且仅占处理其中一种攻击的成本的一小部分。
Nemesis勒索软件攻击和赎金需求
目前还不知道Nemesis Ransomware及其变体的起源。实际上,Nemesis勒索软件很可能是由这些威胁家族中的其他勒索软件独立创建的。对于骗子来说,将代码从一种威胁转换为另一种威胁并不少见,这使得许多威胁彼此非常相似。 Nemesis Ransomware将在受害者计算机进入计算机后立即对其进行加密,通常会搜索与某些文件类型匹配的文件,例如音频,图像和视频文件。如果Nemesis Ransomware设法渗透到Web服务器或小型企业的服务器中,则可能造成最大的破坏。许多公司愿意支付Nemesis Ransomware要求的高额赎金,特别是如果多台计算机已被感染并且对企业的日常活动产生重大影响。 Nemesis勒索软件对受害者的文件进行加密后,会发出赎金记录。以下是Nemesis Ransomware勒索注释的全文:
'您的所有重要文件都已加密
您的文档,照片,数据库和其他重要文件已加密!要解密文件,您需要购买专用软件-“ Nemesis解密”
要获取解密器,请通过电子邮件与我联系:Nemesis-decryptor@india.com
********************要么******************
在在线服务中给我写信:https://bitmsg.me
地址:BM-2cVcW2PHuo8HsWtmoY3oFPcU76bqJ *****
您的个人识别ID:id-8932 *****'
每台受感染的计算机将具有不同的ID号,该ID号在感染时即分配给受害者。
处理和预防Nemesis勒索软件感染
2017年1月8日首次发现了涉及Nemesis Ransomware的首次攻击。NemesisRansomware可能使用垃圾邮件中包含的损坏的电子邮件附件进行分发。因此,防止Nemesis Ransomware攻击的第一种方法是避免打开未经请求的电子邮件附件并谨慎处理电子邮件。特别需要有一个可靠的反垃圾邮件过滤器。完全最新的可靠安全程序可以阻止Nemesis Ransomware的安装,并在造成太多损害之前检测出感染。但是,保护您的数据免受Nemesis Ransomware和类似威胁的最好方法是对所有文件进行备份。使用Nemesis Ransomware加密文件的备份副本后,计算机用户可以快速从攻击中恢复,而不必考虑支付赎金。
分析报告
一般信息
| Family Name: | Trojan.Cridex.A |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
f426f66f0c246a2bcc0a75560ca3627c
SHA1:
eca36576863df6797915ba22a506fe57de6c3f0a
SHA256:
9B39050AAE0F45A03FFB5203D6410B4275B03997A0DF8ED875817C9647B3142D
文件大小:
754.18 KB, 754176 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have security information
- File has exports table
- File is 32-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
Windows PE Version Information
Windows PE Version Information
This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.| 姓名 | 价值 |
|---|---|
| Comments | Give which |
| Company Name | CornerNine GPS Insight Skill |
| File Description | NightRich Crop Second |
| File Version | 4.1.3484.4699 |
| Internal Name | visit2.dll |
| Original Filename | visit2.dll |
| Product Name | NightRich Crop Second |
| Product Version | 4.1.3484.4699 |
File Traits
- dll
- HighEntropy
- x86
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 570 |
|---|---|
| Potentially Malicious Blocks: | 23 |
| Whitelisted Blocks: | 547 |
| Unknown Blocks: | 0 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
Show More
|
| Process Shell Execute |
|
| Anti Debug |
|
Shell Command Execution
Shell Command Execution
This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.
C:\WINDOWS\SysWOW64\rundll32.exe C:\WINDOWS\system32\rundll32.exe c:\users\user\downloads\eca36576863df6797915ba22a506fe57de6c3f0a_0000754176.,LiQMAxHB
|
